??文章目錄

• 【電子取證：FTK Imager 篇】DD、E01系統(tǒng)鏡像動態(tài)仿真
• 一、DD、E01系統(tǒng)鏡像動態(tài)仿真
• • （一）使用到的軟件
  • • 1、FTK Imager (v4.5.0.3)
    • 2、VMware Workstation 15 Pro (v15.5.2)
  • （二）FTK Imager 掛載鏡像
  • • 1、選擇 Imager Mounting
    • 2、選擇系統(tǒng)鏡像掛載
    • • *"注意一"！！！
  • （三）VMware新建虛擬機
  • • 1、新建虛擬機
    • 2、固件類型
    • • *"注意二"！！！
    • 3、處理器、內(nèi)存及其它配置
    • 4、磁盤類型選擇“SATA”
    • • *"注意三"！！！
    • 5、本地磁盤
    • • *"注意四"！！！
    • 6、完成創(chuàng)建虛擬機
    • 7、打開虛擬機
    • 8、錯誤示范
    • • *"注意五"！！！
    • 結(jié)尾

一、DD、E01系統(tǒng)鏡像動態(tài)仿真

	在電子取證分析過程中，我們經(jīng)常遇到DD、E01等系統(tǒng)鏡像，然而，并非所有工作者手邊都有自動化取證軟件，我們?nèi)绾卫檬稚系馁Y源，將鏡像給仿真起來查看里面的數(shù)據(jù)？本文以E01鏡像為例（DD鏡像相同），我們來通過簡單的操作進行手動仿真，讓鏡像數(shù)據(jù)活起來！

（一）使用到的軟件

1、FTK IMAGER (V4.5.0.3)

	FTK Imager “可寫”模式掛載系統(tǒng)鏡像為本地驅(qū)動器。FTK Imager官網(wǎng)鏈接：“https://accessdata.com/product-download/ftk-imager-version-4-5”。

2、VMWARE WORKSTATION 15 PRO (V15.5.2)

	VM新建虛擬機仿真系統(tǒng)鏡像。VM官網(wǎng)鏈接：“https://www.vmware.com/products/workstation-pro/workstation-pro-evaluation.html”。

（二）FTK IMAGER 掛載鏡像

	主要使用FTK Imager“可寫”模式，掛載系統(tǒng)鏡像到本地驅(qū)動器！

1、選擇 IMAGER MOUNTING

	路徑:文件->Imager Mounting;

2、選擇系統(tǒng)鏡像掛載

	1）選擇需要掛載的鏡像文件;2）選擇"Block Device/Writable"；3）點擊"Mount";4）記住"驅(qū)動器號";

*“注意一”！！！

	1）特別強調(diào)第2步！一定要選擇“可寫”模式，否則鏡像無法仿真起來!2）mount成功后，會在本地磁盤顯示出新的分區(qū)，可以打開Windows資源管理器查看，以及默認在鏡像位置新生成一個后綴為“.adcf”的鏡像同名文件，用來存放可寫模式下鏡像被修改的數(shù)據(jù)。

	鏡像掛載前后對比！

	掛載成功后，默認在鏡像的位置下生成一個后綴為".adcf"的同鏡像名文件，用來存放鏡像虛擬寫入的文件。

（三）VMWARE新建虛擬機

1、新建虛擬機

1）新建虛擬機：創(chuàng)建新的虛擬機->“自定義（高級）”->下一步，虛擬機硬件兼容性默認即可！
2）稍后安裝操作系統(tǒng)：后面會用到FTK Imager掛載起來的鏡像”	
3）選擇對應(yīng)的鏡像系統(tǒng)
4）虛擬機保存位置

	選擇對應(yīng)操作系統(tǒng)；填寫虛擬機名稱、虛擬機保存的位置，默認保存在C盤，建議自定義保存在其它容量大的分區(qū)里面。

如果不清楚鏡像類型1）看 FTK Imager 掛載起來的分區(qū)，在“驅(qū)動器”里面可以看到“分區(qū)”的文件系統(tǒng)類型，根據(jù)文件判斷該掛載的鏡像就為“Windows”；2）磁盤管理里面查看；

• 

2、固件類型

*“注意二”！！！

	這個很重要！選擇錯誤，系統(tǒng)將無法正確啟動。Windows配置方面，舊系統(tǒng)統(tǒng)一般選擇BIOS，現(xiàn)在多數(shù)電腦都是UEFI，具體看掛載起來的系統(tǒng)鏡像。

3、處理器、內(nèi)存及其它配置

	有條件的建議配置高一些，方便運行虛擬機。處理器和內(nèi)存分配太小了會卡，有時候鏡像數(shù)據(jù)量大還不一定能運行起來。

4、磁盤類型選擇“SATA”

*“注意三”！！！

	磁盤類型一樣看所選鏡像，這里測試了選擇“SATA、SCSI”一般都可以啟動成功，選“NVMe”不行，猜測鏡像文件非NVMe固態(tài)硬盤所做。

5、本地磁盤

*“注意四”！！！

	選擇“使用物理磁盤”，通常第一次選擇，點擊下一步會請求以管理員權(quán)限運行，需要允許！然后設(shè)備選擇前面 FTK Imager 掛載起來的對應(yīng)驅(qū)動器號，磁盤默認選擇使用整個磁盤即可。

6、完成創(chuàng)建虛擬機

	到這里直接下一步即可完成虛擬機的創(chuàng)建了。整體上需要注意的幾個點，細心就行了。

7、打開虛擬機

	前面操作沒問題的話，系統(tǒng)鏡像就正常被啟動起來了。

8、錯誤示范

*“注意五”！！！

	看分區(qū)類型，如果顯示EFI，固件類型只能選擇“UEFI”，不能選擇“BIOS”！！！否則出現(xiàn)以下報錯，而且無法進入系統(tǒng)！！！

	引導選擇錯誤后，選擇忽略，還是無法進入系統(tǒng)！

結(jié)尾

	常出錯的幾個點都列出來了，在這里還是多說幾句，經(jīng)過測試發(fā)現(xiàn) FTK Imager 新版本在掛載鏡像的時候不是很穩(wěn)定，程序容易崩掉！如發(fā)現(xiàn)系統(tǒng)仿真不起來，建議更換FTK Imager低版本的再試下，這是最快速的方法。太久不動了，寫的比較啰嗦，有不對的地方歡迎指正，謝謝大家！后續(xù)會陸續(xù)分享一些電子取證方面的知識點。